Исследователи из компании CertiK, специализирующейся на безопасности блокчейна, опубликовали тревожный отчёт о структурных недостатках систем защиты на рынках AI-агентов. Основной вывод исследования заключается в том, что существующие модели безопасности, основанные на предварительной проверке кода, не способны эффективно противостоять целенаправленным атакам.
В ходе исследования команда под руководством ведущего специалиста Гуаньсина Вэня (Guanxing Wen) продемонстрировала рабочий прототип атаки на платформе OpenClaw. Злоумышленникам удалось создать вредоносный «Скилл» (Skill), который, несмотря на прохождение многоуровневой проверки на маркетплейсе Clawhub, смог выполнить произвольные команды в хост-системе. Проверка включала статический анализ кода, использование сервиса VirusTotal и инструментов модерации на базе искусственного интеллекта.
«Сканирование скиллов или предупреждающие всплывающие окна недостаточны — без надлежащих разрешений во время выполнения и песочницы один пропущенный при проверке элемент может скомпрометировать всю хост-систему», — заявили в CertiK.
Эксперты выявили, что злонамеренный код может быть замаскирован за счёт незначительных модификаций логики или реструктуризации уязвимостей, что позволяет ему выглядеть безобидным на этапе установки. Это создаёт у пользователей ложное чувство безопасности, поскольку одобрение маркетплейсом не гарантирует фактической защищённости.
Исследование указывает на фундаментальную проблему всей индустрии: чрезмерная зависимость от методов обнаружения угроз до развёртывания (pre-deployment) вместо реализации защиты во время выполнения (runtime). Без таких механизмов, как изоляция в песочнице, строгий контроль разрешений и сегментация процессов, платформы несут повышенные риски.
CertiK рекомендует разработчикам пересмотреть архитектуру безопасности AI-агентов. Ключевые меры включают: применение песочницы по умолчанию для выполнения стороннего кода, внедрение детальных систем разрешений для каждого Скилла и отказ от наследования неявного доверия от хост-системы. Акцент должен сместиться с попыток идеального обнаружения всех угроз на стратегию сдерживания ущерба и обеспечения отказоустойчивости системы.
Для пользователей это означает, что до широкого внедрения runtime-защиты платформы вроде OpenClaw стоит использовать только в средах с низким уровнем риска, не связанных с конфиденциальными данными или критическими активами. Рост экосистем AI-агентов увеличивает вероятность проникновения скомпрометированных компонентов в производственные среды, что делает вопросы изоляции и контроля разрешений критически важными для будущего цифровых экосистем.
